범퍼카 토토 내장보기에서 승인 누락 PG_STATS_EXT 및 PG_STATS_EXT_EXPRS에서 비공식적 인 데이터베이스 사용자가 가장 일반적인 값 및 기타 통계를 읽을 수 있습니다.통계 생성다른 사용자의 명령. 가장 일반적인 값은 도청자가 읽을 수없는 열 값이나 실행할 수없는 기능의 결과를 보여줄 수 있습니다. 영향을받지 않는 버전을 설치하면 새로운 범퍼카 토토 설치, 즉 해당 버전을 설치 한 후 InitDB 유틸리티로 작성된 설치 만 수정됩니다. 현재 범퍼카 토토 설치는 릴리스 노트의 지침을 따르기 전까지는 아래 섹션에서 편의성으로 제공됩니다. 주요 버전 14-16 내에서 범퍼카 토토 16.3, 15.7 및 14.12 이전의 사소한 버전이 영향을받습니다. 범퍼카 토토 14 이전 버전은 영향을받지 않습니다.
이 수정 사항은 새로운 범퍼카 토토 설치, 즉
로 만들어진initdb이 수정 후 유틸리티가 적용됩니다. 현재 범퍼카 토토 설치가있는 경우
이 문제에 대해 우려하고 있습니다. 다음 개선 단계를 사용하십시오.
문제 해결 :
SQL 스크립트 찾기Fix-CVE-2024-4317.SQLin공유디렉토리
범퍼카 토토 설치 (예 :/usr/share/범퍼카 토토/) 또는 다운로드하십시오
아래 URL 중 하나의 범퍼카 토토 Git 저장소에서. 당신은 필요합니다
주요 버전과 일치하는 스크립트를 사용하십시오.
범퍼카 토토 16: https : //git.범퍼카 토토.org/gitweb/? p = 범퍼카 토토.git; a = blob; f = src/backend/catalog/fix-cve-2024-4317.sql; hb = refs/heads/rel_16_stable
위의 URL에서 "raw"라는 URL을 클릭하여 버전을 다운로드 할 수 있습니다. 복사하여 붙여 넣을 수 있습니다.
PostgreSQL 메이저 버전에 적합한 스크립트를 사용하십시오. 당신이 이 파일이 보이지 않으면 버전이 취약하지 않습니다 (범퍼카 토토 14 만 15, 16은 영향을 받거나 미성년 버전이 너무 오래되어 수정하기에는 너무 오래되었습니다.
Fix-CVE-2024-4317.SQL스크립트 AS
데이터베이스 슈퍼 사용자. 예를 들어,PSQL,
파일에/usr/share/범퍼카 토토/,이 명령은 다음과 같습니다.\ I /usr/share/범퍼카 토토/fix-cve-2024-4317.sql
Template0andtemplate1데이터베이스 또는 취약점은 나중에 만든 데이터베이스에 여전히 존재합니다.
수정하려면Template0, 일시적으로 연결을 허용해야합니다. 너
다음 명령으로 이것을 할 수 있습니다 :allow_connections true를 사용하여 데이터베이스 템플릿을 변경합니다.
실행 후Fix-CVE-2024-4317.SQL스크립트에서Template0andtemplate1, 당신은의 능력을 취소해야합니다template0수락
사이. 다음 명령 으로이 작업을 수행 할 수 있습니다.
allow_connections가있는 Alter Database Template0;
범퍼카 토토 프로젝트 감사합니다 Lukas Fittl이 문제를보고합니다.
| 영향을받는 버전 | 고정 | 수정 게시 |
|---|---|---|
| 16 | 16.3 | 범퍼카 토토 : 범퍼카 토토 |
| 15 | 15.7 | 범퍼카 토토 : 범퍼카 토토 |
| 14 | 14.12 | 범퍼카 토토 : 범퍼카 토토 |
자세한 내용은PostgreSQL : 사설 토토 사이트 관리, 방문하십시오PostgreSQL :.
| 전체 점수 | 3.1 |
|---|---|
| 구성 요소 | Core Server |
| Vector | av : n/ac : h/pr : l/ui : n/s : u/c : l/i : n/a : n |
범퍼카 토토에서 새로운 보안 취약점을보고하려면 제발 에 이메일 보내기security@범퍼카 토토.org.
비 보안 버그를보고하려면 참조하십시오.503 토토 베이 페치 실패페이지.